главная    •    Новости    •    софт    •    RSS-ленты    •    реклама    •    PDA-Версия    •    Контакты
Windows XP     •    Windows 7    •    Windows 8    •    Windows 10   •    Windows Server     •    Железо
Полезные советы      •     Администрирование      •     Сеть      •     Безопасность      •     статьи
Реклама на сайте
Книга жалоб и предложений
Правила на сайте
О Winblog.ru и о копирайте
Написать в редакцию
Конфиденциальность
                       
  • Настольные Windows-программы будут работать на смартфонах
  • Windows 10 Insider Preview: вышла сборка 14986
  • Windows 10 Creators Update сделают безопаснее для организаций
  • В Windows 10 будет поддержка шрифта Брайля
  • Внимание! Решение проблемы связано с внесением изменений в системный
    реестр. Перед внесением изменений в системный реестр рекомендуется создать архивную
    копию системного реестра и изучить процедуру восстановления системного реестра.
    За дополнительной информацией по использованию редактора реестра обратитесь к
    следующей статье Microsoft Knowledge Base:



    256986 Description of the Microsoft Windows Registry

    Аннотация Данная статья описывает настройку программы «Миграция в
    Active Directory» (ADMT), позволяющей преобразовать домен на основе Windows
    2000 в домен Windows Server 2003.
    Дополнительная информация
    Внимание! Некорректное использование редактора системного реестра может
    привести систему в неработоспособное состояние и потребовать проведения полной
    переустановки операционной системы. Microsoft не несет ответственности за
    некорректное использование редактора реестра.

    ADMT
    позволяет произвести миграцию данных о пользователях, группах и компьютерах из
    одного домена в другой, а также проанализировать результаты этой миграции как
    до, так и после ее выполнения.

    Примечание. В статьте предполагается, что исходный домен основан на Windows
    2000, а конечный является доменом Windows Server 2003, работающим в основном
    режиме Windows 2000 или более поздней версии этой операционной системы.
    Как настроить ADMT для выполнения миграции с Windows 2000 на Windows Server 2003
    Программу «Миграция в Active Directory» версии 2 (ADMTv2) можно
    установить на любой компьютер с операционной системой Windows 2000 или более
    поздней версии, включая:
    • Microsoft Windows 2000 Professional
    • Microsoft Windows 2000 Server
    • Microsoft Windows XP Professional
    • Microsoft Windows Server 2003
    Компьютер, на который устанавливается ADMTv2, должен входить
    либо в исходный, либо в конечный домен.

    Миграция внутри леса Миграция внутри леса не требует какой-либо специальной настройки
    домена. Учетная запись, от имени которой будет запускаться ADMT, должна иметь
    права, достаточные для выполнения требующихся ADMT действий. Например, этой
    учетной записи необходимо разрешение на удаление учетных записей из исходного
    домена и создание учетных записей в конечном домене.

    Миграция внутри
    леса по сути является операцией перемещения, а не копирования. В каком-то
    смысле она является деструктивной, так как после перемещения объекты исчезают
    из исходного домена. В силу того что объекты не копируются, а перемещаются,
    некоторые действия, являющиеся необязательными при миграции между лесами, в
    данном случае выполняются автоматически. Например, при миграции внутри леса
    происходит автоматический перенос атрибутов sIDHistory и паролей.

    Миграция между лесами В данном случае ADMT требуются следующие разрешения.
    • Права администратора в исходном домене.
    • Права администратора на каждом из компьютеров, для которых
      выполняется миграция.
    • Права администратора на каждом из компьютеров, на который
      мигрируют параметры безопасности.
    Перед тем как начать миграцию с домена Windows 2000 в домен
    Windows Server 2003, необходимо выполнить настройку некоторых параметров домена
    и безопасности. Миграция компьютеров и перенос параметров безопасности не
    требуют специальной настройки домена. Однако каждый из компьютеров, для
    которого выполняется миграция, должен иметь административные общие ресурсы C$ и
    ADMIN$.

    Учетная запись, от имени которой запускается ADMT, должна
    иметь права, достаточные для выполнения всех нужных задач. В частности, ей
    необходимо разрешение на создание учетных записей компьютеров в конечном домене
    и подразделении; эта запись также должна входить в локальную группу
    администраторов на каждом из компьютеров, для которых выполняется миграция.

    Миграция пользователей и групп Исходный домен следует настроить так, чтобы он доверял конечному.
    При желании доверительные отношения можно сделать двусторонними, чтобы конечный
    домен доверял исходному. Это упростит настройку, однако для завершения миграции
    с помощью ADMT не требуется.

    Требования, относящиеся к выполнению необязательных задач миграции
    Перечисленные ниже задачи могут быть выполнены автоматически при
    запуске мастера миграции пользователей в тестовом режиме и выборе режима
    миграции sIDHistory. Автоматическая настройка будет успешной только в случае,
    если учетная запись, от имени которой запускается ADMT, имеет привилегии
    администратора как в исходном, так и в конечном домене.
    1. Создайте в исходном домене локальную группу с именем
      %sourcedomain%$$$. Эта группа не должна содержать ни одной учетной
      записи.
    2. Включите аудит успешных и неуспешных операций для параметра
      политики безопасности «Аудит управления учетными записями» для обоих доменов в
      используемой по умолчанию политике для контроллеров доменов.
    3. Разрешите в исходном домене доступ к SAM через удаленный
      вызов процедур (RPC); для этого на эмуляторе основного контроллера домена (PDC)
      в исходном домене необходимо создать указанный параметр типа DWORD со значением
      1:

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\TcpipClientSupport

      После добавления этого параметра эмулятор основного
      контроллера домена следует перезапустить.
    Примечание. В доменах Windows 2000 учетная запись, от имени которой
    запускается ADMTv2, должна иметь права администратора домена в обоих доменах:
    исходном и конечном. В конечных доменах Windows Server 2003 миграция атрибута
    sIDHistory может делегироваться. Дополнительные сведения см. в центре справки и
    поддержки Windows Server 2003.

    Чтобы включить миграцию паролей между
    лесами, необходимо установить библиотеку, выполняющуюся в контексте LSA. Работа
    в этом защищенном контексте предотвращает просмотр паролей в незашифрованном
    текстовом виде кем бы то ни было, включая саму операционную систему. Установка
    библиотеки защищена секретным ключом, который создается ADMTv2 и
    устанавливается администратором.

    Чтобы установить библиотеку миграции
    паролей.
    1. Войдите с правами администратора на компьютер, где
      установлена программа ADMTv2.
    2. Введите в командной строке команду: ADMT KEY
      исходный_доменпуть [* |
      пароль]
      ; она создаст файл ключа для экспорта паролей (.pes). В этом
      примере исходный_домен представляет собой
      NetBIOS-имя исходного домена, а путь — это путь к
      файлу, содержащему ключ. Путь обязан быть локальным, однако может указывать на
      съемный носитель, такой, как гибкий диск, ZIP-диск или записываемый
      компакт-диск. Необязательный пароль позволяет дополнительно защитить сам
      PES-файл. При вводе звездочки (*) ADMT выдаст запрос на ввод пароля (который
      при вводе не будет отображаться на экране).
    3. Переместите созданный на шаге 2 PES-файл на сервер экспорта
      паролей в исходном домене. Эту роль может играть любой контроллер домена,
      имеющий быстрый и надежный доступ к компьютеру, на котором запущена программа
      ADMT.
    4. Установите библиотеку миграции паролей на сервер экспорта
      паролей с помощью программы Pwmig.exe. Pwmig.exe находится в папке I386\ADMT
      установочного носителя Windows Server 2003 или папке, в которую была помещена
      программа ADMTv2 при загрузке из Интернета.
    5. В ответ на запрос укажите путь к созданному на шаге 2
      PES-файлу. Этот путь должен быть локальным.
    6. По завершении установки сервер требуется
      перезапустить.
    7. Непосредственно перед миграцией паролей измените значение
      указанного ниже параметра реестра типа DWORD на 1. Чтобы минимизировать риск, не делайте это заранее.

      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\LSA\AllowPasswordExport

    Загрузить ADMT можно с веб-сайта Майкрософт по следующему
    адресу:

    http://www.microsoft.com/windows2000/downloads/tools/admt/default.asp

    Более подробные сведения о выполнении миграции с помощью ADMT
    содержатся в справке ADMT. Запустите программу «Миграция в Active Directory»,
    выберите пункт Вызов справки в меню Справка, откройте вкладку Содержание и выберите в списке Миграция в Active Directory.

    Более подробные сведения об ADMT см. на веб-сайте
    Майкрософт:

    http://www.microsoft.com/windows2000/techinfo/howitworks/activedirectory/admt.asp

    Дополнительные сведения об
    использовании ADMT для миграции с домена Microsoft Windows NT 4.0 на домен
    Windows Server 2003 см. статью Microsoft Knowledge Base:

    325851 HOW TO: Set Up ADMT for a Windows NT 4.0-to-Windows Server 2003 Migration

    Программа «Миграция в Active Directory» версии 2
    находится в папке I386\Admt на компакт-диске Windows Server 2003.


    Информация в данной статье применима к:
    • Microsoft Windows 2000 Server
    • Microsoft Windows 2000 Advanced Server
    • Microsoft Windows Server 2003, Standard Edition
    • Microsoft Windows Server 2003, Enterprise Edition
    • Microsoft Windows Server 2003, Datacenter Edition
    • Microsoft Windows Server 2003, 64-Bit Enterprise Edition
    • Microsoft Windows Server 2003, 64-Bit Datacenter Edition
    • Microsoft Windows Server 2003, Web Edition



    Оцените статью:
    Голосов 2

    Материалы по теме:
  • Репликация паролей для контроллеров доменов только для чтения в Windows Server 2008
  • Ошибки при входе компьютеров под управлением Windows 95/98 и Windows NT 4.0 в домен Windows Server 2003
  • Просмотр и передача ролей одиночного гибкого хозяина операций
  • Перенос Exchange 2003 на новое оборудование.
  • Active Directory Migration Tool 2.0


    • bowtiesmilelaughingblushsmileyrelaxedsmirk
      heart_eyeskissing_heartkissing_closed_eyesflushedrelievedsatisfiedgrin
      winkstuck_out_tongue_winking_eyestuck_out_tongue_closed_eyesgrinningkissingstuck_out_tonguesleeping
      worriedfrowninganguishedopen_mouthgrimacingconfusedhushed
      expressionlessunamusedsweat_smilesweatdisappointed_relievedwearypensive
      disappointedconfoundedfearfulcold_sweatperseverecrysob
      joyastonishedscreamtired_faceangryragetriumph
      sleepyyummasksunglassesdizzy_faceimpsmiling_imp
      neutral_faceno_mouthinnocent

    Для отправки комментария, обязательно ответьте на вопрос

    Вопрос:
    Сколько будет двадцать минус три?
    Ответ:*




    ВЕРСИЯ ДЛЯ PDA      СДЕЛАТЬ СТАРТОВОЙ    НАПИШИТЕ НАМ    РЕКЛАМА

    Copyright © 2006-2016 Winblog.ru All rights reserved.
    Права на статьи принадлежат их авторам. Копирование и использование материалов разрешается только в случае указания явной гиперссылки на веб-сайт winblog.ru, как на источник получения информации.
    Сайт для посетителей возрастом 18+